双因素认证(2FA)方案TOTP 的算法

基于时间的一次性密码算法(TOTP)是一个算法,计算出一个一次性密码,从一个共享密钥和当前时间。它已被采纳为因特网工程工作队标准RFC 6238,它是开放式认证(宣誓)主动权的基石,用于许多双因素认证系统。

TOTP 的概念

TOTP 的全称是"基于时间的一次性密码"(Time-based One-time Password)。它是公认的可靠解决方案,已经写入国际标准 RFC6238。

双因素认证(2FA)方案TOTP 的算法

它的步骤如下。

第一步,用户开启双因素认证后,服务器生成一个密钥。

第二步:服务器提示用户扫描二维码(或者使用其他方式),把密钥保存到用户的手机。也就是说,服务器和用户的手机,现在都有了同一把密钥。

双因素认证(2FA)方案TOTP 的算法

注意,密钥必须跟手机绑定。一旦用户更换手机,就必须生成全新的密钥。

第三步,用户登录时,手机客户端使用这个密钥和当前时间戳,生成一个哈希,有效期默认为30秒。用户在有效期内,把这个哈希提交给服务器。

双因素认证(2FA)方案TOTP 的算法

第四步,服务器也使用密钥和当前时间戳,生成一个哈希,跟用户提交的哈希比对。只要两者不一致,就拒绝登录。

TOTP 的算法

仔细看上面的步骤,你可能会有一个问题:手机客户端和服务器,如何保证30秒期间都得到同一个哈希呢?

答案就是下面的公式。

TC = floor((unixtime(now) − unixtime(T0)) / TS)

上面的公式中,TC 表示一个时间计数器,unixtime(now)是当前 Unix 时间戳,unixtime(T0)是约定的起始时间点的时间戳,默认是0,也就是1970年1月1日。TS 则是哈希有效期的时间长度,默认是30秒。因此,上面的公式就变成下面的形式。

TC = floor(unixtime(now) / 30)

所以,只要在 30 秒以内,TC 的值都是一样的。前提是服务器和手机的时间必须同步。

接下来,就可以算出哈希了。

TOTP = HASH(SecretKey, TC)

上面代码中,HASH就是约定的哈希函数,默认是 SHA-1。

TOTP 有硬件生成器和软件生成器之分,都是采用上面的算法。

双因素认证(2FA)方案TOTP 的算法

(说明:TOTP 硬件生成器)

双因素认证(2FA)方案TOTP 的算法

(说明:Google Authenticator 是一个生成 TOTP 的手机 App)

双因素认证(2FA)方案TOTP 的算法

: » 双因素认证(2FA)方案TOTP 的算法

原创文章,作者:745907710,如若转载,请注明出处:https://blog.ytso.com/252566.html

(0)
上一篇 2022年5月4日
下一篇 2022年5月4日

相关推荐

发表回复

登录后才能评论